DNA kyselee virusten perään

[autsi]

Eli Dna:lta tullut nyt pari soittoa että mulla on kuulemma jonkun kyberuhkalaitoksen mukaan jotain hämäryyttä nettiliikenteessä.

Jostain takaportista se puhu ja että pitäis tehä jotain webshell skannausta. Malwarebytesillä skannasin koneet eikä mitään löytynyt.
Käytössä on windowsin oma virustorjunta.

Oisko mitään lisäneuvoja heittää? Niin ja onhan mulla toi Adguardikin käytössä.

 

[Kilkenblad]

Onko Windows-kone ainoa laite joka käyttää nettiliittymääsi? Joku muukin laite voi olla saastunut.

Mulla oli joskus sama ongelma Telian kanssa. Joku Android tabletti mulla muistaakseni sitten paljastui että lähetteli roskapostia itsekseen.

 

[escalibur]

Kannattaa myös tarkistaa että reitittimesi softa on edes etäisesti ajan tasalla.

Tarkista samalla löytyykö sun julkista IP-osoitetta esim. tästä palvelusta: Shodan

 

[Rollerix]

Kannattaa myös tarkistaa että reitittimesi softa on edes etäisesti ajan tasalla.

Tarkista samalla löytyykö sun julkista IP-osoitetta esim. tästä palvelusta: Shodan

Avaatko vähän mitä tuolla shodanilla saa selville?

 

[escalibur]

Avaatko vähän mitä tuolla shodanilla saa selville?

Avatut portit, palvelut, haavoittuvuudet yms, yms.

Tein koko aiheesta videonkin ”Mitä suomalaiset kytkevät nettiin turvattomasti”.

 

[mikajh]

Tarkista samalla löytyykö sun julkista IP-osoitetta esim. tästä palvelusta: Shodan

Niin ja varsinkin https://www.abuseipdb.com/
Hakkerinhan luulisi sulkevan kaikki avoimet hyökkäysreitit, jolloin botti on suojattu uusilta kilpailijoilta

 

[k70]

Kertoivatko onko kyseessä liittymästä lähtevä liikennne? Jos on, ja olettaa että on normaali kotireititin käytössä, voi liikenne tulla mistä vaan verkkoon liitetystä laitteesta, kuten tietokone, puhelin, tabletti, äly-TV. Periaatteessa myös naapurin laite, jos langattoman verkon salasana on muilla tiedossa, liian helppo, tai verkko on kokonaan avoin.

Jos reititin on uudehko ja päivitetty, ja useimmat laitteet ovat wifissä, voisi aloittaa vaihtamalla wifin salasanan. Sitten liittää uudelleen vain varmasti puhtaita laitteita.

Yhdessä tällaisessa tapauksessa selvisi lopulta, että DNA:n oma modeemi oli korkattu..

 

[autsi]

Ei löytynyt Shodanista eikä abuseipdb:stä mitään. Reitittimes on viimeisin päivitys.

Kellonajan perusteella mitä se sanoi tiedän mitkä kaksi konetta on olleet netissä siihen aikaan mutta niistä ei viruksia löytynyt.
Reititin on resetoitu ja salasana vaihdettu puhelujen välissä.

Tietysti onhan puhelin kokoajan wifissä kiinni. Oisko mitään ohjelmaa millä puhelimen skannaisi?

 

[Gespard]

Milloin viimeisin firmware päivitys tullut purkkiin? Jos 2v+ sitten niin osta uusi.
Mikä salasana vaihdettu? Purkin kirjautumis vaiko wifi vai molemmat? Onko purkissa netin kautta tapahtuva kirjautuminen mahdollista, vaiko vain lähiverkon kautta?

 

[Glengoyle]

Kannattaa kanssa tsekata mitä laitteita sulla on wifi verkossa, siellä saattaa olla joku sellanenkin laite mikä ei ole sinun ja pääsy wlaniin, operaattorin näkökulmasta on myös sun laitteita. Fiksummasta reitittimestä löytyy ip lista ja laite nimistä selkokielisenä

 

[juhaa]

Kannattaa kysyä sieltä DNA:lta raporttia ihan sähköisesti sähköpostiin, niin sen jälkeen ei välttämättä tarvitse arvuutella, että mitä siellä puhelimessa on kerrottu ja varmasti saa paremmat ohjeet täällä, että missä todennäköisesti on jotain ylimääräistä.

Traficom valvoo ja ilmoittaa operaattorille haittaliikenteestä.

Autoreporter-kategoriat | Kyberturvallisuuskeskus

Autoreporter-palvelumme lähettää verkkojen ylläpitäjille automaattisesti tietoja heidän verkossaan havaituista tietoturvaa vaarantavista ilmiöistä. Palvelun tarkoitus on antaa ylläpitäjille tietoja, joiden avulla he voivat puuttua tietojenkäsittelyä yleisesti vaarantaviin tietoturvapoikkeamiin...

www.kyberturvallisuuskeskus.fi

Jos asialle ei mitään tee, niin äkkiä nettisi on irti ja poikki.

Tässä esimerkki raportista, jonka sain työntekijän liittymästä.



ko. tapauksessa syypää oli vanhempi mäkki.

 

[mikajh]

Reitittimes on viimeisin päivitys

Onko reitittimellä julkinen vai CG-NAT ip4-osoite? Onko ipv6 päällä
Jos on julkinen ipv4-osoite, niin kuinka stabiili se on vai vaihtuuko päivittäin? Jos kyllä, niin abuseipdb ei pysy perässä ja/tai itsellä pitäisi olla historia tallessa, että voi tarkistaa vanhojakin osoitteita

 

[escalibur]

Ei löytynyt Shodanista eikä abuseipdb:stä mitään. Reitittimes on viimeisin päivitys.

Kellonajan perusteella mitä se sanoi tiedän mitkä kaksi konetta on olleet netissä siihen aikaan mutta niistä ei viruksia löytynyt.
Reititin on resetoitu ja salasana vaihdettu puhelujen välissä.

Tietysti onhan puhelin kokoajan wifissä kiinni. Oisko mitään ohjelmaa millä puhelimen skannaisi?

Mikä reititin on kyseessä?

 

[Grizzle]

Se voi ihan hyvin olla reititin. Mulle tuli ~5 vuotta sitten Elisalta vastaava ilmoitus. Syynä oli Asuksen reititin, jossa paikkaamaton haavoittuvuus, johon oli jo hyökkäyskoodit julkaistu. Nollapäivähaavoittuvuus siis.

Reitittimeen pitäisi periaatteessa auttaa ihan bootti, mutta minä resetoin sen ja asensin firmiksen uudestaan. Laitoin myös heti tilaukseen minipc:n, josta tuli ensin pfSense muuri ja nykyään siinä on OPNsense. Palomuurikonetta odotellessa pidin Asuksen reititintä päällä vain silloin, kun oli pakko päästä nettiin.

 

[autsi]

Reititin on Huawei B715s-23c.

Salasanat on vaihdettu kirjautumiseen ja wifiin. Mistäs toi selviää pystyykö netin kautta kirjautumaan?

Onko reitittimellä julkinen vai CG-NAT ip4-osoite? Onko ipv6 päällä
Jos on julkinen ipv4-osoite, niin kuinka stabiili se on vai vaihtuuko päivittäin? Jos kyllä, niin abuseipdb ei pysy perässä ja/tai itsellä pitäisi olla historia tallessa, että voi tarkistaa vanhojakin osoitteita

Mites noi nyt tarkistetaan?

Joo pitää pyytää dna:lta raporttia.
Ja ei siellä laitelistassa näkynyt kuin omia laitteita.

 

[mailman]

Salasanat on vaihdettu kirjautumiseen ja wifiin. Mistäs toi selviää pystyykö netin kautta kirjautumaan?

Kännykällä yhteyttä julkiseen ip osoitteeseesi?

 

[autsi]

Tällänen keskustelu oli DNA.n kanssa.

You:
- "Päivää. Sieltä on nyt pari kertaa soitettu että mulla on jotain hämärää nettiliikenteessä. Niin saisinko siitä jotain tarkempaa raporttia?"


Human agent:
- "Pieni hetki niin tarkistelen"


Human agent:
- "Tällä hetkellä ei vaadi sinulta mitään toimenpiteitä on meidän viimeisin tieto"


Human agent:
- "Tekninen puoli on asiaa hoitamassa"


You:
- "Niin onko se vika nyt mun vai teidän pääs?"


Human agent:
- "Tekninen tuki tietää, enempää en osaa sanoa asiasta valitettavasti"


Human agent:
- "muuta ei ole kirjattu kuin että ei vaadi toimenpiteitä sinulta"


You:
- "jaahas"

 

[eeeno]

Reitittimen etäkäyttö/ hallinta kannattaa kaiketi kytkeä pois päältä. Siellä se lisäasetuksissa saattaa löytyä.

Kannattaa varmaan toisella antivirus ohjelmalla tietokone skannata.

 

[mikajh]

Mites noi nyt tarkistetaan?

Yhteyden kesto näkyy luultavasti reitittimen hallinnan alkusivulla. Toki jos olet vastikään boottaillut ja tehnyt mahdollisia resetointeja reitittimelle, niin yhteyden kesto on alkanut viimeisimmästä.

Verkkoasetuksissa mobiiliverkon internet-yhteyden profiilissa on sekä APN-merkkijono ja sen tyyppi (IPv4 tai IPv4v6).

 

[autsi]

Tollanen.

 

[mikajh]

Tollanen.

Eli ei julkista IPv4:ää. Myös palomuuri blokkaa oletuksena kaiken tulevan IPv6-liikenteen. Sinulla on siis melko pienet mahdollisuudet tulla hakkeroiduksi netistä sisälle päin -aloitteella ja olemattomat, jos vielä tarkistat, että UPnP on pois päältä, kuten oletuksena pitäisi

 

[jk72]

Eli Dna:lta tullut nyt pari soittoa että mulla on kuulemma jonkun kyberuhkalaitoksen mukaan jotain hämäryyttä nettiliikenteessä.

Jostain takaportista se puhu ja että pitäis tehä jotain webshell skannausta. Malwarebytesillä skannasin koneet eikä mitään löytynyt.
Käytössä on windowsin oma virustorjunta.

Oisko mitään lisäneuvoja heittää? Niin ja onhan mulla toi Adguardikin käytössä.

Mulle tuli kanssa soittoa joku pari vuotta sitten.En muista et mikä haittaohjelma oli pesiytynyt johonkin kodin laitteeseen.

 

[autsi]

Eli ei julkista IPv4:ää. Myös palomuuri blokkaa oletuksena kaiken tulevan IPv6-liikenteen. Sinulla on siis melko pienet mahdollisuudet tulla hakkeroiduksi netistä sisälle päin -aloitteella ja olemattomat, jos vielä tarkistat, että UPnP on pois päältä, kuten oletuksena pitäisi

No toi UPnp oli kyllä päällä ilman että olin pistänyt sitä päälle.

Pitää nyt sitten vaan odottaa että soitteleeko ne vielä sieltä. Mukavaa vaan kun ensin pelotellaan ja sitten ei voi kertoa mikä siellä on ja kenellä vikana.

 

[eeeno]

Mitenkäs sitten toimii Chromecast ja Dlna jutut, kun tuon ottaa pois?

 

[thrill]

Ittelle tuli aikanaan elisalta viestiä kun löin uuden reitittimen ilman päivityksiä sisään, oli vähän ruuhkaa käyttäjissä

 

[autsi]

Lainataas vähän omaa ketjua.

Reititin Huawei B715s-23C ja DNA:n 5G. Pitkän aikaa ollut nopeuden kanssa heittelyä ja nyt viimesen viikon ollut niin että ei meinaa pystyä kattomaan yle areenaakaan täydellä resolla. Speedtestillä lataus tippunut n.150:stä n.5-20:een. Uploadi pysynyt samassa.

Dna:n tuesta aina sanottu että ei vikaa heidän päässään.

Voiko toi reititin niinsanotusti degreidata ettei se jaksa ladata enää nopeempaa? Resetoitu on ja monesti.

 

[Wapaaherra]

TR-069-etähallinta "backdoor" kannattaa kytkeä reitittimestä pois päältä, jos sellainen asetus on ja Huawein modeemeissa se on oletuksena päällä. Luultavasti yleisin tapa murtautua reitittimeen on TR-069-protokolan kautta.

 

[SpiidWulf]

Lainataas vähän omaa ketjua.

Reititin Huawei B715s-23C ja DNA:n 5G. Pitkän aikaa ollut nopeuden kanssa heittelyä ja nyt viimesen viikon ollut niin että ei meinaa pystyä kattomaan yle areenaakaan täydellä resolla. Speedtestillä lataus tippunut n.150:stä n.5-20:een. Uploadi pysynyt samassa.

Dna:n tuesta aina sanottu että ei vikaa heidän päässään.

Voiko toi reititin niinsanotusti degreidata ettei se jaksa ladata enää nopeempaa? Resetoitu on ja monesti.

Asutko SYV:n alueella, jolloin on mahdollista, että aiemmin käyttämäsi tukiasema olisi poistettu käytöstä ja uusi tukiasema on kauempana? DNA:n ja Telian tukiasemia on harvennettu jonkin verran SYV uudistuksen yhteydessä.

 

[eeeno]

TR-069-etähallinta "backdoor" kannattaa kytkeä reitittimestä pois päältä, jos sellainen asetus on ja Huawein modeemeissa se on oletuksena päällä. Luultavasti yleisin tapa murtautua reitittimeen on TR-069-protokolan kautta.

Huawei b818 laitteesta olen yrittänyt sulkea tuota etähallintaa, mutta ilmeisesti se ei mene pois päältä, kun lokissa lukee aina jotain tr069 umts voice connected. Mitähän tarkoittaa edes.

Toimiiko netti hitaasti myös Ethernet piuhalla?

 

[pulatunnus]

TR-069-etähallinta "backdoor" kannattaa kytkeä reitittimestä pois päältä, jos sellainen asetus on ja Huawein modeemeissa se on oletuksena päällä. Luultavasti yleisin tapa murtautua reitittimeen on TR-069-protokolan kautta.

Oliko tämä nyt tarkoitettu kenelle ? 5G mokkula käyttäjälle ?
Eikö tuo ole protokolla mitä käytetään ihan sen laitteen ylläpitämiseen ajantasalla operaattori tuotteissa, ja mokkula liittymissä on usein vähän tiukempi palomuuri kuin kupariliittymissä.

Lainataas vähän omaa ketjua.

Reititin Huawei B715s-23C ja DNA:n 5G. Pitkän aikaa ollut nopeuden kanssa heittelyä ja nyt viimesen viikon ollut niin että ei meinaa pystyä kattomaan yle areenaakaan täydellä resolla. Speedtestillä lataus tippunut n.150:stä n.5-20:een. Uploadi pysynyt samassa.

Dna:n tuesta aina sanottu että ei vikaa heidän päässään.

Voiko toi reititin niinsanotusti degreidata ettei se jaksa ladata enää nopeempaa? Resetoitu on ja monesti.

Kuvaus sopii enemmän johonkin muuhun kuin viruksiin, toki niistäkin voi johtu, mutta noissa 4G mokkulaketjuissa voisi olla enemmän kokemusta.
Ensin tsekata ne mobiiliyhteyden laadut, tuo ilmeisesti sisä 4G reitin, niin sen sijoitus on ratkaiseva, jos käyttä paikka on alueella missä paljon kesäasukkaita ymv. niin ruuhkaisuus, ja tietenkin tuo mainittu, jos verkossa päivityksiä.

Edit:
Tämä liitty aloitukseen, no ensin varmistaisin että onko nimenomaan DNA oltu yhteydessä, ja se ihan mahdollista ja jos verkossa on saastunut laite, niin se voi toki viedä kaistaa tai muuten tukkia reititintä.

Yleensä perus toimenpide irroittaa kaikki laitteet kotiverkosta, reitin nollata/asentaa tuorein ohjelmisto, turvallisella laitteella, ja WiFi verkko nimetä uudella nimella ja tai PSK vaihtaa.

Laite kerralla nollata/asentaa tuorein ohjelmisto. ja vasta sen jälkeen liittää verkkoon. Vanhentuneet, ei enään tuoteut jättää irti, samoin epämääräiset ei luotettavat, mukaan lukien ns kiinan tilaukset.

 

[Kautium]

... jos vielä tarkistat, että UPnP on pois päältä, kuten oletuksena pitäisi

Hyvin monissa reitittimissä UPnP on oletuksena päällä. Normaalitilanteessa se helpottaa käyttöä, kun ei tarvitse tehdä porttiohjauksia/avauksia sisäverkosta ulos eri peleille jne, mutta sitten taas toisaalta se tuo mukanaan tietoturvahaasteen, kun mikä tahansa sisäverkkoon päässyt haittaohjelma voi pyytää pääsyä samalla tavalla ilman käyttäjän toimia.